توسيع النطاق الأعلى يمثل خطرًا أمنيًا لأجهزة الكمبيوتر التجارية

انفجار نطاقات المستوى الأعلى العامة (gTLD) في السنوات الأخيرة يمكن وضع أجهزة كمبيوتر الشركة في خطر بسبب تضارب الأسماء بين أسماء النطاقات الداخلية المستخدمة داخل شبكات الشركات وتلك التي يمكن تسجيلها الآن على الإنترنت العام.

قامت العديد من الشركات بتكوين شبكاتها لاستخدام أسماء النطاقات ، في كثير من الحالات باستخدام أعلى TLDs التي لم تستخدمها منذ بضع سنوات على الإنترنت ، مثل .office ، .global ، .network ، .group ، .school وغيرها الكثير. إن وجود مساحة داخلية تستند إلى اسم النطاق يجعل من السهل تحديد موقع الأنظمة وإدارتها والوصول إليها.

المشكلة هي أنه خلال العامين الماضيين ، وافقت مؤسسة الإنترنت للأسماء والأرقام المخصصة (ICANN) على أكثر من 900 نطاق gTLD للاستخدام العام كجزء من جهد التوسع. يمكن أن يكون لذلك آثار أمان غير متوقعة للتطبيقات والبروتوكولات المستخدمة في شبكات الشركات المستندة إلى المجال.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك]

هذه هي الحالة الخاصة باكتشاف الويب لوكيل الويب (WPAD) البروتوكول المستخدم من قبل أجهزة الكمبيوتر على الشبكات المحلية ليكتشف تلقائيًا إعدادات بروكسي الويب التي يجب استخدامها.

يتم تمكين WPAD في Internet Explorer و Windows ، وهو أكثر مجموعة OS-browser شيوعًا على شبكات الشركات. كما أنه مدعوم في Mozilla Firefox و Google Chrome و Apple Safari ، بما في ذلك على Linux و OS X ، ولكن لا يتم استخدامه بشكل افتراضي.

يمكن لأجهزة الكمبيوتر استخدام بروتوكول WPAD وخادم DNS المحلي للعثور على موقع جهاز wpad. ملف تكوين الوكيل dat التي يجب تنزيلها واستخدامها. في حالة الشبكة المستندة إلى المجال ، يمكن وضع هذا الملف على خادم ويب يمكن الوصول إليه عبر اسم المضيف wpad.internal_domain.tld.

المشكلة هي أنه عند استخدام جهاز كمبيوتر ، مثل الكمبيوتر المحمول ، خارج شبكة الشركة ومتصل بشبكة مختلفة ، يمكن أن يصل استعلام DNS WPAD إلى خادم DNS عام ، نظرًا لأن ملقم DNS الداخلي للشركة غير متاح.

نظرًا لتوسع gTLD ، يمكن للمهاجمين تسجيل أسماء النطاقات المستخدمة بواسطة الشركات داخليا ثم استضافة ملفات التكوين الوكيل المارقة التي سيتم تحميلها بعد ذلك عن طريق أجهزة الكمبيوتر المحمولة المتجولة. وهذا يعني أنه سيتم تمرير حركة مرور الويب الخاصة بتلك أجهزة الكمبيوتر من خلال خادم وكيل يسيطر عليه المهاجمون ، مما يسمح بفحص أو تعديل غير مرخص لحركة المرور. وهذا ما يعرف بهجوم الرجل في الوسط.

لفهم نطاق المشكلة ، قام باحثون من Verisign وجامعة ميشيغان بتحليل طلبات WPAD التي وصلت إلى 2 من خوادم DNS الجذر العالمية الثلاثة عشر من سبتمبر من 2013 إلى يوليو 2015. تقوم Verisign بتشغيل هذين الخادمين.

أظهرت البيانات أن هناك أكثر من 20 مليون استعلام WPAD مسربة تصل إلى الخوادم كل يوم ، وهو ما يمثل 6.6 مليون ضحية محتملة للمستخدمين على الأقل. وجد الباحثون أسئلة WPAD مسربة لـ 485 من 737 gTLDs الجديدة التي تم تفويضها من قبل ICANN حتى 25 أغسطس 2015 ، عندما تم تحليل البيانات.

من المحتمل أن تكون المشكلة أكثر انتشارًا من ذلك ، لأن ICANN قد فوضت 201 نطاقات gTLD جديدة إضافية منذ أغسطس ولأن البيانات التي تم تحليلها كانت فقط من اثنين من خوادم DNS الجذر العالمية الثلاثة.

gTLDs التي لوحظ فيها أكبر عدد من طلبات WPAD المسربة: .global ، .ads ، .group ، .network و .dev و .office و .prod و .hsbc و .win و .world و .wan و .sap و .site. أكثر من 65 في المائة من تسرب الاستعلام WPAD نشأت من أجهزة الكمبيوتر في الولايات المتحدة.

وقد دفعت هذه المسألة الولايات المتحدة طوارئ الكمبيوتر الاستعجال فريق (الولايات المتحدة CERT) لنشر تنبيهات أمنية يوم الاثنين. لدى الفريق العديد من التوصيات لمشرفي الشبكات بما في ذلك تعطيل اكتشاف الوكيل التلقائي في المتصفحات وأنظمة التشغيل أثناء إعداد الجهاز إذا لم تكن هناك حاجة إلى الميزة واستخدام اسم نطاق مؤهل بالكامل من DNS العام الذي قامت الشركة بتسجيله وتملكه كجذر للمؤسسة ومساحة الأسماء الداخلية الأخرى.